物理的セキュリティ対策とは、媒体や機器が「盗まれる」「壊れる」「なくす」といった事象に対するセキュリティ対策です。
入退館(室)管理
まず、オフィスの領域を誰でも立ち入りできる「オープンエリア」と、原則として社員しか立ち入りしない「セキュリティエリア」に区分します(図1)。オープンエリアでは、流出したら困るような情報を取り扱わないようにします。
セキュリティエリアに社外の人が立ち入る際は、会社名と氏名などを記録するようにします。エリアの区分は、人間の背の高さよりも高いパーティションで区切ることが望ましいのですが、これが困難な場合はカウンターで仕切るなど、床に線を引いて「この先は部外者の立ち入りを禁止します」と掲示するだけでも構いません。
勘違いしないでいただきたいのですが、入退館管理というと、すなわち「電子ロックを装備したドアを設置しないとダメ」ということではありません。事実、プライバシーマークを取得している企業でも電子ロックを導入していない会社はたくさんあります。
|
図1 セキュリティエリアとオープンエリアの区分を明確にする |
持ち出し・持ち込みの制限
次に、情報を保存して持ち運びできる媒体や機器を管理対象にします(ノートPC、USBメモリ、CD-Rなど)。
これらについては、通し番号を付与して一覧表にするなどの方法が効果的です。そして、これらを持ち出す場合や持ち込む場合は、各部署の所属長の許可を得るようにします。
ここでも勘違いしないでいただきたいのですが、決してこれらの媒体や機器の利用を「禁止しなければならない」ということではありません。時々、「当社ではノートパソコンの利用を禁止しました」とったケースが見受けられますが、会社の自席でないと電子メールも読めないようでは、お客様により良いサービスを提供することは困難でしょう。
ノートPCなどの情報機器は、むしろどんどん利用すべきだと思います。ただし、その利用を会社の管理下に置くということです。
盗難への対策
上述の入退館(室)管理は盗難防止策としてもある程度有効です。それに加え、共有のキャビネットと、各自の机の引き出しの鍵を整備することをお勧めします。これにより共有情報と個人管理の情報の区分けが明確になり、盗難対策をとることができます。
あとは外出時の対策として、不要な場合は持ち出さない、持ち出す場合は常に注意を怠らないということです。
例えば、自動車の車内に放置しない、電車の中で網棚に置いて居眠りしない、トイレに行く際もカバンを持つ、飲みに行く際はPCを持ち出さない……といったことがありますが、このような行動規範の周知徹底も必要です。
情報の廃棄
紙の情報については、シュレッダーを使って廃棄している企業が多いと思いますが、徹底している企業では、専門の業者に委託して溶解処理まで行っています。
また、ハードディスクやUSBメモリ、CD-Rなどに残されたデータが廃棄後に悪用される危険性については長年言われていますが、データ容量の急増により、この問題は一層大きくなってきています。業務で使用したこれらの機器を廃棄する際は、中古PCショップなどで売却しても数千円程度にしかなりませんので、物理的に破壊してしまうことをお勧めします。
